• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 其他
  • -
    • Sonatype Nexus Repository Manager外部實體注入漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2020-29436
    • 漏洞類型: XML外部實體注入
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-23
    • 更新時間:2021-01-13

    漏洞簡介

    1、Nexus Repository Manger 介紹

    Nexus 一個是Maven倉庫管理器,通常使用Maven,是從Maven中央倉庫下載所需要的構(gòu)件(artifact),但這不是一個好的做法,更好的做法是在本地架設一個Maven倉庫服務器,在代理遠程倉庫的同時維護本地倉庫,以節(jié)省帶寬和時間,Nexus就可以滿足這樣的需要。此外,他還提供了強大的倉庫管理功能,構(gòu)件搜索功能,它基于REST,占用較少的內(nèi)存,基于簡單文件系統(tǒng)而非數(shù)據(jù)庫。這些優(yōu)點使其日趨成為最流行的Maven倉庫管理器。

    2、漏洞描述

    2020年12月15日,Sonatype 官方發(fā)布了Nexus Repository Manager中一個外部實體注入漏洞的風險通告,該漏洞使得具有Nexus Repository Manager管理員權(quán)限的攻擊者可以某種方式配置系統(tǒng),訪問系統(tǒng)文件,并與任何Nexus Repository Manager可以訪問的后端或外部系統(tǒng)進行交互。官方已禁止XML解析庫解析來自外部的實體,從而修復此問題。



    漏洞公示

    暫無

    受影響實體

    目前受影響的Nexus版本:

    Nexus Repository Manager 3 <= 3.28.1

    補丁

    目前廠商已發(fā)布升級補丁,請受影響用戶盡快更新補丁以修復漏洞,補丁獲取鏈接: 

    Nexus Repository Manager 3下載

    https://help.sonatype.com/repomanager3/download